Vulnérabilité d’Aptos : comment sa rapidité a élargi un risque de $70B

  • Hexens a découvert une faille critique dans Aptos, corrigée avant tout transfert de fonds.
  • Le bug aurait pu permettre à un attaquant de forger des actifs et de les faire passer à travers des ponts.
  • Aptos conteste la gravité, mais le CTO de Polygon a validé la preuve de concept.
  • L’affaire relance le débat sur les coupe-circuits on-chain des L1 rapides.

Un cabinet de sécurité a révélé que,** pendant des mois, Aptos,** l’une des blockchains de couche 1 les plus rapides, avait porté une faille critique avant d’être corrigée discrètement. Le 4 juillet, Hexens a rendu public un bug qu’il avait signalé en privé à Aptos le 25 février : une faiblesse dans le moteur qui exécute les smart contracts qui alimentent la chaîne, et que son propre estimé place comme autant que $70 milliards de risque théorique en jeu à travers des ponts, des stablecoins et des exchanges connectés. Aptos Labs l’a corrigée dans les heures suivant ce premier signalement, et aucun fonds utilisateur n’a jamais été touché. Alors pourquoi un correctif vieux de cinq mois fait-il maintenant la une ? Deux raisons. La première, évidemment, c’est le chiffre. Mais aussi le détail qui se cache dessous : ce qu’Aptos met le plus en avant, c’est la vitesse brute, et la vitesse brute est précisément ce qui fait passer $70 milliards d’une alerte sensationnaliste à un ordre de grandeur défendable. Un record de débit, un jour après la rupture Le 5 juillet, à peine 24 heures après le signalement, le compte officiel du projet est passé à son update mensuel programmé de tokenomics, annonçant 232 500 APT brûlés sur les 30 derniers jours, plus de 16 millions de transactions en une seule journée pour un nouveau record trimestriel, et des frais moyens de $0,0005 après une augmentation des frais par 10, le tout sous la devise « the full stack for markets and machines at work ». Le billet se lit très différemment une fois que vous avez la divulgation de Hexens sous les yeux, parce que les transactions quasi gratuites et le volume énorme qu’Aptos met en avant sont exactement les mêmes propriétés qu’un chercheur en sécurité examine en premier lorsqu’il calcule combien un seul bug dans le cœur de la chaîne pourrait réellement coûter.

Chaque transaction sur Aptos brûle $APT. Nouveau bilan de fin de mois :

• 232,5K APT brûlés sur les 30 derniers jours
• 1,4M total APT brûlés depuis le mainnet
• +16M transactions en une journée—nouveau record trimestriel
• $0,0005 de frais moyens par tx depuis l’augmentation ×10

The full stack for markets and machines at work. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 juillet 2026

Le bug vivait sous le code que vérifient la plupart des audits Aptos est construit sur Move, un langage de programmation conçu spécifiquement pour rendre ce type d’attaque difficile. Move traite les tokens et autres actifs numériques comme des éléments protégés et vérifie, au moment où une transaction s’exécute, que rien n’est manipulé comme le mauvais type d’objet. Cette promesse de sécurité explique en grande partie pourquoi Aptos et Sui présentent toutes deux Move comme plus sûr que des environnements plus anciens. La faille de Hexens s’est glissée sous cette promesse sans la casser de front. En termes simples, le système a brièvement fonctionné à partir d’informations obsolètes et a fini par confondre un type d’objet on-chain avec un autre. Les gens de la sécurité appellent ça de la « confusion de type », un vieux problème logiciel où un programme lit une chose comme étant un mauvais type et passe directement à côté des contrôles prévus pour l’arrêter. Sur une blockchain, ce mélange est dangereux : un attaquant pourrait déguiser un objet malveillant en objet légitime et tromper le réseau sur qui possède un actif et qui est autorisé à le déplacer. Le CTO de Polygon, Mudit Gupta, a revu la preuve de concept de façon indépendante et a déclaré à CoinDesk qu’elle s’exécutait comme revendiqué, avec la réserve que quelques conditions devaient d’abord être réunies. Venant du responsable sécurité d’une chaîne concurrente, cela pèse plus que tout ce qu’Aptos ou Hexens pourraient dire seuls. Pourquoi les frais bas et le volume énorme rendent le bug pire Le débit cesse d’être ici une ligne marketing et commence à agir comme un multiplicateur de risque. Hexens a mené l’attaque sur un cluster de plus de 30 nœuds validateurs, configurés pour refléter le réseau réel, sur une machine serveur qui coûtait environ $3 000 et représentait environ un tiers de l’ensemble des validateurs. Ça a fonctionné 17 ou 18 fois sur 20, sans accès interne ni permissions spéciales requises. En intégrant les chiffres en direct, l’image se précise. À une fraction d’un centime par transaction, inonder la chaîne de charges malveillantes revient presque à rien. À 16 millions de transactions par jour, avec des blocs confirmés en quelques secondes, un attaquant capable de forger des actifs n’aurait besoin que d’une fenêtre très courte pour les créer et les faire sortir avant que quiconque réagisse. La vitesse est neutre. Le même moteur qui traite un volume légitime en quelques secondes traiterait aussi, au même rythme, un faux scénario « mint-and-transfer », et les humains qui font tourner le réseau ne peuvent pas réagir aussi vite. C’est précisément la partie que le billet sur les métriques de brûlage a, par accident, soulignée. Deux nombres très différents, et pourquoi l’écart compte Deux chiffres sortent de cette affaire, et les traiter comme un seul fait déformer le récit. Le plus petit est d’environ $250 millions : la valeur détenue dans des applications DeFi d’Aptos que le cabinet indépendant Grego AI juge directement exposée. Le plus grand est $70 milliards, et il n’apparaît que lorsqu’on suit la faille en dehors d’Aptos via des ponts cross-chain comme Wormhole et LayerZero, des systèmes de stablecoins, et les exchanges qui échangent APT et ses versions tokenisées. Les ponts sont le point faible. Ils agrègent des actifs provenant de plusieurs chaînes à la fois, de sorte qu’un événement d’actifs forgés qui démarre sur Aptos pourrait, dans le pire scénario modélisé, siphonner de l’argent qui provenait à l’origine d’Ethereum. Les $70 milliards correspondent à un total en scénario catastrophe fondé sur une pile d’hypothèses, et non à du cash qui se trouvait là, prêt à être saisi en un seul mouvement propre.

| Chiffre | | --- | Ce qu’il représente | Source | | --- | --- | | $250M | Valeur dans des applis DeFi Aptos à risque direct | Grego AI | | $70B | Risque systémique maximal à travers ponts, stablecoins, exchanges | Hexens | | $3,000 | Coût serveur pour simuler environ un tiers des validateurs | Hexens | | $1M | Palier maximal de paiement de la prime (bug bounty) pour une faille Aptos | Programme de bug bounty d’Aptos |

Aptos Labs ne conteste pas le rapport lui-même. Il confirme la notification du 25 février via le programme de bug bounty et affirme que le problème faisait déjà l’objet d’un traitement en interne. Ce qu’il conteste, c’est la gravité : selon lui, les conditions réelles du réseau auraient rendu l’exploitation beaucoup plus difficile que ce que la configuration de test laisse entendre, et l’exploitabilité dans le monde réel serait « extrêmement faible ». Cette affirmation se heurte directement à la validation indépendante de Gupta, et les deux positions n’ont pas été réconciliées publiquement. Il existe aussi un deuxième écart à signaler, qui concerne les incitations plutôt que le code. La prime plafonne à $1 million. Un exploit de ce type pourrait rapporter de nombreuses fois plus sur le marché noir, et Hexens l’a de toute façon divulgué : c’est précisément l’intérêt de faire fonctionner un système de prime.

| Lecture de la menace systémique | | --- | Lecture de la résilience | | A une configuration à $3,000 pourrait menacer une couche 1 de tout premier rang | Corrigé en quelques heures, sans perturbation du réseau | | Un bug de cœur suggère un risque de catégorie pour les chaînes Move | Aptos dit que les conditions réelles rendent l’exploitabilité très faible | | Un seul défaut pourrait toucher des actifs via ponts et stablecoins | La prime a orienté vers un résultat « white-hat » plutôt qu’une vente |

Ce que fait le graphique APT pendant que le débat suit son cours Les traders l’ont surtout balayé du revers de la main. Sur le graphique Aptos/USD sur 4 heures de Coinbase, extraite via TradingView, APT s’est échangé autour de $0,635 le 7 juillet, en restant au-dessus de sa moyenne mobile sur 50 périodes à $0,6061 et de sa ligne sur 100 périodes à $0,6147, tout en se heurtant à la moyenne sur 200 périodes à $0,6410 comme résistance au-dessus. Une moyenne mobile n’est rien de plus que le prix de clôture moyen sur autant de bougies, et cette configuration suggère un rebond réel qui n’a pas encore effacé la tendance baissière plus large, celle qui a ramené APT d’environ $1,00 à la mi-mai à environ $0,55. Le RSI, un indicateur de pression acheteuse allant de 0 à 100, était à 58,77, au-dessus du seuil neutre de 50 mais loin de la barre des 70 qui signalerait un marché surchauffé. **CoinMarketCap **montrait APT en hausse de 9,91 % sur la semaine à $0,6339, donc la divulgation ressemble davantage à un poids sur le sentiment qu’à un déclencheur de ventes réelles. Le correctif qui surpasse ce cycle d’actualité Les bâtisseurs portent la charge à court terme. Toute personne qui exécute une application sur Aptos a une raison de re-vérifier la manière dont son code gère le type de cas limite que Hexens a trouvé, et de gros investisseurs pourraient maintenir une prime de risque légèrement plus élevée sur des tokens basés sur Move comme APT et SUI pendant qu’ils relisent les fondations du réseau. Deux éléments, toutefois, sont susceptibles de rester après la disparition de la couverture. Le premier, c’est le plafond de la prime. Un cap à $1 million paraît de plus en plus faible face à la valeur que ce plafond est censé protéger, et les projets en concurrence avec des acheteurs sur le marché noir n’auront peut-être guère le choix que de le relever. Le second, c’est un changement dans la question que les chercheurs posent réellement. Pendant des années, les droits de fanfaronnade tournaient autour de combien de transactions une chaîne pouvait pousser. Cet incident pousse plutôt l’attention vers l’autre compétence : à quelle vitesse un réseau peut se couper à lui-même. Les chaînes rapides ont de plus en plus besoin de « kill switches » automatiques qui figent les transferts cross-chain dès qu’un problème semble se dessiner, parce qu’une fois qu’un humain remarque, les transactions ont déjà eu lieu. Aptos va lancer cet essai sur lui-même. Une proposition pour masquer les détails des transactions jusqu’après leur confirmation, ce qui rendrait le front-running plus difficile, progresse déjà dans le vote communautaire, tandis que d’autres mises à niveau visent des temps de confirmation encore plus rapides. Chacune de ces améliorations ajoute de la vitesse et augmente la valeur en jeu, la même combinaison que la divulgation de Hexens a montré capable de transformer un bug unique en risque systémique. Que le prochain moment sécurité de Move soit perçu comme une réassurance ou comme une répétition dépend d’une seule chose : si ces mises à jour sont livrées avec les garde-fous intégrés que cet épisode a mis en évidence pour faire le cas.

Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé